A. Einleitung
Kritische Infrastrukturen (KRITIS) stehen auch in Deutschland seit mehreren Jahren im Fadenkreuz unterschiedlicher Akteure, seien es ausländische Geheimdienste, Cyberkriminelle oder extremistische Gruppierungen. Der folgenreiche Angriff vom 03.01.2026 auf das Berliner Stromnetz im Südwesten der Stadt im Wege eines Brandanschlags auf ein wichtiges Stromkabel stellt hierbei den vorläufigen Höhepunkt dieser gefährlichen Entwicklung dar. Der Angriff führte zu einem großflächigen Stromausfall im Berliner Stadtgebiet bei ungefähr 45.000 Stromkunden, der erst bis zum 07.01.2026 vollständig behoben werden konnte – wohlgemerkt im tiefen Winter bei Minusgraden. Daneben führt die Cyberkriminalität in der Bundesrepublik zu fortwährend ansteigenden wirtschaftlichen Schäden, wobei die Schadenssumme für die deutsche Wirtschaft im Jahr 2025 mit 289 Mrd. Euro einen neuen Rekordwert erreichte; hierdurch unterliegen insbesondere kleine und mittelständische Unternehmen einer mitunter existenzgefährdenden Bedrohung.1
Vor diesem Hintergrund stellt die umfassende Weiterentwicklung des Rechts zum Schutze der Kritischen Infrastrukturen (KRITIS-Recht) zum Jahreswechsel 2025/2026 einen Schritt mit erheblicher Bedeutung dar, der mit der Umsetzung der Anforderungen der NIS-2-RL2 an die Cybersicherheit in den Behörden und Unternehmen mit Umsetzungsgesetz vom 02.12.20253 den ersten Auftakt gemacht hat. Die ebenfalls für diesen Zeitraum geplante Umsetzung der Anforderungen der CER-RL4 an die Resilienz der physischen Komponenten von KRITIS (wie etwa Stromkabel von elektrischen Verteilernetzen oder technische Einrichtungen in Klärwerken) im Rahmen des sog. „KRITIS-DachG“5 wurde vor dem Eindruck des Berliner Anschlags zunächst verschoben, um den bestehenden Gesetzesentwurf ggf. zu überarbeiten.6
Das Artikelgesetz zur Umsetzung der Maßgaben der NIS-2-RL sieht Gesetzesänderungen in zahlreichen Regelwerken vor, wobei der Kern des neuen regulatorischen Rahmens zur Cybersicherheit im novellierten BSIG7 umgesetzt wird. Der nachfolgende Beitrag gibt einen Überblick über die hierbei erfolgten Änderungen in ihren wesentlichen Zügen und wird sich auf die Anforderungen des neuen BSIG mitsamt der ebenfalls überarbeiteten BSI-Kritis-V8 an Einrichtungen außerhalb der Bundesverwaltung konzentrieren.
B. Neuer Anforderungsrahmen des KRITIS-Rechts an die Cybersicherheit
Das neue KRITIS-Recht zur Cybersicherheit sieht neben einem deutlich erweiterten Geltungsbereich für zahlreiche Sektoren und unterschiedliche Kategorien an Einrichtungen (hierzu I.) eine erhebliche Verschärfung und Ausweitung des Anforderungsrahmens gegenüber den verpflichteten Stellen (dazu II.) vor. Der neue Regelungsrahmen wird durch ein erstmals für die Führungsebene in Unternehmen eingeführtes Haftungs- und Sanktionsregime abgerundet, dessen Bedeutung auf keinen Fall unterschätzt werden sollte (dazu III.).
I. Erfasste Sektoren und Einrichtungen
Die neuen Anforderungen erfassen nach dem novellierten BSIG in Entsprechung zu den Maßgaben der NIS-2-RL die nachfolgend aufgeführten Sektoren, die weiter nach Branchen und Einrichtungsarten unterteilt in der Anlage 1 zum BSIG aufgelistet werden:
- •
Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasserver- und Abwasserentsorgung, Digitale Infrastruktur und Digitale Dienste, Weltraum, Ernährung, Abfallentsorgung und Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren sowie Forschung.
Der Rüstungssektor wurde bislang eigenständig über die Regelungskette des § 2 Abs. 14 Satz 1 Nr. 1 BSIG a.F. i.V.m. § 60 Abs. 1 Satz 1 Nr. 1 AWV, Teil 1 Abschnitt A Anlage 1 zur AWV als „Unternehmen im besonderen öffentlichen Interesse“ erfasst, wohingegen er infolge der Neufassung des BSIG als eigenständiger Sektor entfallen ist und stattdessen regulatorisch über den Sektor „Verarbeitendes Gewerbe/Herstellung von Waren“ einbezogen wird. Die Anlage 2 zum BSIG n.F. verweist zur Erfassung der jeweiligen Branchen in diesem Sektor auf die Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft, abgekürzt „NACE“.9 Die Herstellung von Rüstungsprodukten findet sich (insbesondere) unter den Tätigkeitskategorien nach NACE Rev. 2.110 Abschnitt C Abteilung 26, 27 oder 30 wieder (Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen sowie sonstiger Fahrzeugbau).
Die unterschiedlichen Kategorien an erfassten Einrichtungen werden sodann in § 28 und § 29 BSIG normiert. § 28 BSIG erfasst die Kategorien der „besonders wichtigen Einrichtungen“ sowie der „wichtigen Einrichtungen“, § 29 BSIG bezieht bestimmte Einrichtungen der Bundesverwaltung in den Kreis der Verpflichteten mit ein.
Als „besonders wichtige Einrichtungen“ gelten nach § 28 Abs. 1 Nr. 1 bis 4 BSIG verschiedene Kategorien an Einrichtungen, so etwa Betreiber von kritischen Anlagen i.S.v. § 28 Abs. 8 Satz 1 BSIG i.V.m. § 3 Abs. 1 Nr. 22 BSIG (sog. KRITIS-Betreiber), Betreiber von öffentlichen Telekommunikationsnetzen (ab bestimmten umsatz- und mitarbeiterbezogenen Schwellenwerten) oder DNS-Diensteanbieter i.S.v. § 3 Abs. 1 Nr. 8 BSIG. Der Begriff der kritischen Anlagen wird in der BSI-KritisV für alle erfassten Sektoren anhand von Schwellenwerten für die betroffenen Einrichtungsarten näher konkretisiert (Beispiel: Stromerzeugungsanlagen mit einer installierten Nettonennleistung von 104 Megawatt oder mehr aus dem Energiesektor nach Nr. 1.1.1 Teil 3 Anhang 1 zur BSI-KritisV).
Den Mittelpunkt der „besonders wichtigen Einrichtungen“ dürfte der Auffangtatbestand des § 28 Abs. 1 Nr. 4 BSIG bilden, wonach alle sonstigen natürlichen oder juristischen Personen oder rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft, die einer der in Anlage 1 zum BSIG genannten Einrichtungsart zuzuordnen sind, eine unternehmerische Tätigkeit als Anbieter von Waren oder Dienstleistungen auf dem Markt erbringen und mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Mio. Euro sowie eine Jahresbilanzsumme von über 43 Mio. Euro aufweisen, ebenfalls als „besonders wichtige“ Einrichtungen gelten.
Der Begriff der „wichtigen Einrichtungen“ knüpft an diese Regelungssystematik in § 28 Abs. 2 Nr. 1 bis 3 BSIG an und erfasst (neben den Vertrauensdiensteanbietern, den Anbietern öffentlich zugänglicher Telekommunikationsdienste und den Betreibern öffentlicher Telekommunikationsnetze mit umsatz- und mitarbeiterbezogenen Schwellenwerten unterhalb der Werte des § 28 Abs. 1 Nr. 3 BSIG) alle sonstigen natürlichen oder juristischen Personen oder rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft, die einer der in Anlage 1 oder 2 zum BSIG genannten Einrichtungsart zuzuordnen sind, eine unternehmerische Tätigkeit als Anbieter von Waren oder Dienstleistungen auf dem Markt erbringen und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Mio. Euro erwirtschaften. Unter die verpflichteten Einrichtungen der Bundesverwaltung fallen schließlich (u.a.) auch alle Bundesbehörden gemäß § 29 Abs. 1 Nr. 1 BSIG sowie öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung gemäß § 29 Abs. 1 Nr. 2 BSIG.
Angesichts dieses breiten Spektrums an erfassten Sektoren und Betreibern von kritischen Anlagen sowie der offenen Tatbestände für „besonders wichtige“ und „wichtige“ Einrichtungen nach § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG muss mit dem neuen Regelungsrahmen eine Vielzahl an unterschiedlichen, bislang nicht regulierten Unternehmen und Wirtschaftsakteuren strengen Sicherheitsauflagen im Cyberbereich genügen. Beispiele für betroffene Einrichtungen sind etwa:
- •
Betreiber von Heizkraftwerken als KRITIS-Betreiber, wenn die betreffende Anlage jährlich eine Wärmeenergie von 2.300 GWh oder mehr ausleitet (Nr. 4.1.2 Teil 3 Anhang 1 i.V.m. § 2 Abs. 6 BSI-KritisV);
- •
Unternehmen, deren Haupttätigkeit in der Abfallbewirtschaftung i.S.v. § 3 Abs. 14 KrWG liegt und die die mitarbeiter- oder umsatzbezogenen Schwellenwerte des § 28 Abs. 2 Nr. 3 Buchst. a oder b BSIG erreichen, infolgedessen sie als „wichtige Einrichtungen“ in der Abfallbewirtschaftung gelten (Nr. 2.1.1 Anlage 2 BSIG); bei den Tätigkeiten nach § 3 Abs. 14 KrWG handelt es sich insbesondere um die Bereitstellung, Überlassung, Sammlung, Beförderung sowie die Verwertung und Beseitigung von Abfällen;
- •
Betreiber von Produktionsstätten von verschreibungspflichtigen Arzneimitteln wiederum als KRITIS-Betreiber, wenn durch die betreffende Anlage jährlich 4.650.000 Packungen mit verschreibungspflichtigen Arzneimitteln oder mehr in Verkehr gebracht werden (Nr. 3.1.1 Teil 3 Anhang 5 i.V.m. § 6 Abs. 4 BSI-KritisV);
- •
Hersteller von militärischen Kampffahrzeugen (NACE Abschnitt C Abteilung 30.40) oder von militärischen Drohnen (NACE Abschnitt C Abteilung 30.32), die wiederum die mitarbeiter- oder umsatzbezogenen Schwellenwerte des § 28 Abs. 2 Nr. 3 Buchst. a oder b BSIG erreichen.
Beachtlich ist hierbei, dass über die Verpflichtung der erfassten Einrichtungen, ebenfalls die (Cyber-)Sicherheit ihrer Lieferketten einschließlich sicherheitsbezogener Aspekte (§ 30 Abs. 2 Satz 2 Nr. 4 BSIG) zu gewährleisten, mittelbar auch noch weitere Einrichtungen und Unternehmen in den Anforderungsrahmen des BSIG einbezogen werden, wie etwa kleine und mittelständische Unternehmen.11
II. Umfangreicher Katalog an cybersicherheitsbezogenen Anforderungen
Der Regelungsrahmen des novellierten BSIG sieht einen umfangreichen Katalog an Anforderungen an die verpflichteten Einrichtungen vor, der im Folgenden anhand ausgewählter Regelungen überblicksartig vorgestellt wird. Aus der Sicht der Einrichtungen steht dabei die Registrierungspflicht des § 33 BSIG im Ausgangspunkt (dazu 1.). Im Anschluss daran werden die zentralen Anforderungen an die vorzuhaltenden Sicherheitsmaßnahmen dargestellt (hierzu 2.).
1. Ausgangspunkt: Registrierungspflicht als verpflichtete Einrichtung
Die nach § 28 BSIG erfassten „besonders wichtigen“ und „wichtigen“ Einrichtungen sowie Domain-Name-Registry-Diensteanbieter unterliegen gemäß § 33 Abs. 1 BSIG der Registrierungspflicht als verpflichtete Einrichtungen. Die Registrierung hat über eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) gemeinsam eingerichtete Registrierungsstelle zu erfolgen. Dabei müssen die in § 33 Abs. 1 Nr. 1 bis 5 BSIG genannten Informationen übermittelt werden, bspw. Name der Einrichtung, Kontaktdaten, einschlägiger Sektor und Branche nach den Anhängen 1 und 2 zum BSIG usw. KRITIS-Betreiber müssen nach § 33 Abs. 2 Satz 1 BSIG zusätzlich die von ihnen erbrachte kritische Dienstleistung (nebst weiteren hierzu relevanten technischen Angaben) übermitteln.
Die betroffenen Einrichtungen müssen die Registrierung nach § 33 Abs. 1 BSIG spätestens drei Monate, nachdem sie erstmals oder erneut als eine nach dem BSIG verpflichtete Einrichtungsart gelten, durchführen. Die Methode zur Berechnung des maßgeblichen Zeitpunkts für die Festlegung als KRITIS-Betreiber ist in Teil 1 zum jeweiligen sektorbezogenen Anhang zur BSI-KritisV aufgeführt (so etwa in Nr. 3 Teil 1 Anhang 1 zur BSI-KritisV für den Energiesektor). Der Verstoß gegen die Registrierungspflicht führt zu einer bußgeldbewehrten Ordnungswidrigkeit, die gemäß § 65 Abs. 2 Nr. 6, Abs. 5 Nr. 5 BSIG ein Bußgeld von bis zu 500.000 Euro nach sich ziehen kann und daher unbedingt vermieden werden sollte.
2. Zentrale Anforderungen an die erfassten Einrichtungen
Im Mittelpunkt des novellierten BSIG steht sodann die Einführung von umfassenden Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit durch die erfassten Einrichtungen. Nach § 30 Abs. 1 Satz 1 BSIG sind „besonders wichtige“ und „wichtige“ Einrichtungen dazu verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für Dienste genutzten IT-Systeme, Komponenten und Prozesse zu vermeiden und die Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Bei den drei genannten Schutzgütern handelt es sich um die drei klassischen Schutzgüter des IT-Rechts.12
Die erfassten Einrichtungen müssen dabei gemäß § 30 Abs. 2 Satz 1 BSIG ein Niveau Cybersicherheit gewährleisten, das dem Stand der Technik entspricht,13 wobei der genaue Umfang der Maßnahmen nach § 30 Abs. 1 Satz 2 BSIG in Abhängigkeit vom Ausmaß der Risikoexposition, von der Größe der betroffenen Einrichtung, den Umsetzungskosten, der Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen zu bestimmen sind. Lediglich „wichtige“ Einrichtungen können daher ein weniger strenges Sicherheitsniveau vorsehen als „besonders wichtige“ Einrichtungen,14 wohingegen Betreiber von KRITIS gemäß § 31 BSIG besonders strengen Anforderungen entsprechen müssen.
Die durchzuführenden Risikomanagementmaßnahmen werden in § 30 Abs. 2 Satz 2 BSIG näher konkretisiert und untergliedern sich in Nr. 1 bis 10 der Vorschrift in zehn unterschiedliche Handlungsbereiche. Hierunter fallen etwa zu erstellende Konzepte bezüglich der Risikoanalyse und der Sicherheit in der Informationstechnik, die Bewältigung von Sicherheitsvorfällen oder die Aufrechterhaltung des Betriebs, wie durch ein ausreichendes Backup-Management und die Gewährleistung der Wiederherstellung nach einem Notfall, sowie ein ausreichendes Krisenmanagement in den Einrichtungen. Besonders einschneidende Änderungen dürfte dabei der Handlungsbereich der „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu den unmittelbaren Anbietern und Diensteanbietern“ der verpflichteten Einrichtungen nach sich ziehen (§ 30 Abs. 2 Satz 2 Nr. 4 BSIG). Dieser Handlungsbereich soll Unternehmen dazu anhalten, die Schwachstellen sämtlicher ihrer wichtigen Dienstleister zu untersuchen und die gesamte Praxis ihrer Anbieter bzw. Lieferanten zur Cybersicherheit in den Blick zu nehmen.15 Damit dürften die neuen Anforderungen des BSIG faktisch eine vertragliche „Cyber-Due-Dilligence“16 der verpflichteten Einrichtungen mit ihren Anbietern erzwingen, was die grundlegende Überprüfung von bestehenden Leistungsbeziehungen erforderlich machen kann.17
Des Weiteren unterliegen die „besonders wichtigen“ und die „wichtigen“ Einrichtungen umfassenden Meldepflichten nach den Maßgaben des § 32 BSIG. So müssen sie z.B. nach § 32 Abs. 1 Nr. 1 BSIG im Falle eines erheblichen Sicherheitsvorfalls unverzüglich, spätestens aber innerhalb von 24 Stunden, eine sog. „frühe Erstmeldung“ und gemäß § 32 Abs. 1 Nr. 2 BSIG wiederum unverzüglich, spätestens aber innerhalb von 72 Stunden, eine umfassendere Zwischenmeldung über den Sicherheitsvorfall an die gemeinsame Meldestelle von BSI und BKK abgeben. Im letzteren Fall sind auch erste Erkenntnisse zum Schweregrad des Vorfalls und seiner Auswirkungen anzugeben. Ferner sieht § 32 Abs. 1 Nr. 4 BSIG die Pflicht zur Übermittlung einer Abschlussmeldung durch die beeinträchtigte Einrichtung vor, wobei etwa eine ausführliche Beschreibung des Sicherheitsvorfalls, Angaben zur Art der Bedrohung oder zu den getroffenen und laufenden Abhilfemaßnahmen zu übermitteln sind. Für die verpflichteten Unternehmen werden diese Anforderungen absehbar einen nicht unerheblichen betrieblichen Aufwand nach sich ziehen, der entsprechende interne Strukturen und Abläufe erfordern wird.
Ergänzt werden diese Anforderungen durch Unterrichtungspflichten der erfassten Einrichtungen über erhebliche Sicherheitsvorfälle gegenüber ihren Geschäftskunden, falls das BSI eine solche Unterrichtung gemäß § 35 Abs. 1 Satz 1 BSIG anordnet. Ebenso unterliegen KRITIS-Betreiber nach § 39 BSIG gegenüber dem BSI alle drei Jahre der Nachweispflicht in Bezug auf die erfolgreiche Umsetzung der nach § 30 BSIG geforderten Risikomanagementmaßnahmen; der Nachweis muss durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erbracht werden, wobei auch aufgedeckte Sicherheitsmängel anzugeben sind.
III. Verschärftes Haftungs-, Sanktions- und Aufsichtsregime
Für die betroffenen Einrichtungen von höchster Relevanz ist schließlich das neue Haftungs- und Sanktionsregime der NIS-2-RL gegenüber der Geschäftsleitung der erfassten Einrichtungen. Diese werden in § 38 Abs. 1 BSIG dazu verpflichtet, die von den „besonders wichtigen“ und „wichtigen“ Einrichtungen nach § 30 BSIG zu ergreifenden Risikomanagementmaßnahmen aktiv umzusetzen und ihre Umsetzung zu überwachen. Dabei legt § 38 Abs. 2 BSIG fest, dass Geschäftsleitungen, die diese managementbezogene Pflicht verletzen, gegenüber ihren Einrichtungen für einen hierdurch schuldhaft verursachten Schaden nach den Regeln des anwendbaren Gesellschaftsrechts haften. Dabei handelt es sich um eine persönliche Haftung der jeweiligen Gesellschaftsorgane.18 Falls eine solche gesellschaftsrechtliche Haftungsregelung nicht existiert, verleiht den betroffenen Einrichtungen § 38 Abs. 2 Satz 2 BSIG die notwendige Anspruchsgrundlage für einen solchen Schadensersatzanspruch.
Mit dieser strengen Regelung werden die Leitungsebenen in den erfassten Einrichtungen dazu angehalten, die Einhaltung der vorzunehmenden Risikomanagementmaßnahmen betrieblich-organisatorisch zu gewährleisten und fortwährend zu überwachen. Auf diese Weise soll der Bereich der Cybersicherheit in der Führungskultur der erfassten Einrichtungen denselben Stellenwert erlangen, wie die herkömmlichen Felder der Legal Compliance; eine „Abwälzung“ dieser Verantwortlichkeit auf Dritte, wie etwa auf die IT-Abteilung innerhalb der Einrichtungen, kann nicht mehr zur Enthaftung der Geschäftsleitung führen.19
Die Geschäftsleitungen müssen nach § 38 Abs. 3 BSIG ebenso regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementpraktiken im Bereich der Cybersicherheit zu erlangen. Diese Anforderungen orientiert sich am Compliance-Grundsatz des „Tone from the Top“ und zielt auf den Umstand ab, dass echte Resilienz im Bereich der Cybersicherheit erst durch eine gut informierte und engagierte Geschäftsleitung erreicht werden kann.20
Im Einklang zu der Begründung dieses neuen Organhaftungsregimes erfolgt zudem eine Verschärfung des bisherigen unternehmensbezogenen Sanktionsregimes im Falle von Verstößen gegen den Anforderungsrahmen des BSIG. So sieht das novellierte BSIG im Vergleich zur bisherigen Rechtslage bspw. höhere Bußgelder vor, die sich nach bisherigem Recht höchstens auf zwei Mio. Euro belaufen konnten (§ 14 Abs. 5 Satz 1 BSIG a.F.), wohingegen manche Ordnungswidrigkeiten nach neuem Recht – konkret „besonders wichtige“ Einrichtungen betreffend – mit Geldbußen von bis zu zehn Mio. Euro geahndet werden können (§ 65 Abs. 5 Nr. 1 Buchst. a BSIG). Ebenfalls neu ist die Möglichkeit des BSI, gegenüber den zu sanktionierenden Einrichtungen anstelle von festen Bußgeldern eine Geldbuße in Abhängigkeit zum jährlichen Gesamtumsatz der Einrichtung zu verhängen, wenn diese einen Gesamtumsatz von mehr als 500 Mio. Euro erwirtschaften. Dabei können nach § 65 Abs. 6 und 7 BSIG Bußgelder von bis zu 2% des jährlichen Gesamtumsatzes bei „besonders wichtigen“ und bis zu 1,4% des jährlichen Gesamtumsatzes bei „wichtigen“ Einrichtungen verhängt werden.
Schließlich erhält das BSI in § 61 BSIG ein weitreichendes Aufsichts- und Durchsetzungsregime gegenüber den verpflichteten Einrichtungen. So kann es etwa gemäß § 61 Abs. 5 BSIG betriebliche Sicherheitsüberprüfungen bei „besonders wichtigen“ Einrichtungen durchführen, um die Einhaltung der Anforderungen des BSIG durch die Einrichtung zu überwachen. Wurde hierbei ein Mangel festgestellt, kann das BSI gemäß § 61 Abs. 6 Satz 1 BSIG Anordnungen gegenüber der betreffenden Einrichtung zur Umsetzung von bestimmten Risikomanagementmaßnahmen gemäß § 30 BSIG erlassen, um bspw. Sicherheitsvorfälle zu verhüten oder einen festgestellten Mangel in der Cybersicherheit zu beheben.
Kommt die betreffende Einrichtung den Anordnungen des BSI trotz der Setzung einer Umsetzungsfrist nicht nach, so kann das BSI nach § 61 Abs. 9 Satz 1 Nr. 1 und 2 BSIG – als ultima ratio – die der betreffenden Einrichtung erteilte Genehmigung nach dem jeweiligen Fachrecht vorübergehend ganz oder teilweise aussetzen und unzuverlässigen Geschäftsleitern die Ausübung der Tätigkeit, zu der sie berufen sind, vorübergehend untersagen. Bei einem Blick in Art. 32 Abs. 5 Satz 2 Buchst. a NIS-2-RL wird ersichtlich, dass es sich bei der „Genehmigung nach dem jeweiligen Fachrecht“ um diejenige Genehmigung handelt, die die Einrichtung für die Ausübung ihrer unternehmerischen Tätigkeit bzw. die Erbringung ihrer Dienste benötigt; ein Beispiel hierfür wäre die Genehmigung für den Betrieb eines Energieversorgungsnetzes gemäß § 4 EnWG, wobei etwa Betreiber von bestimmten Stromverteilernetzen als KRITIS-Betreiber nach dem BSIG gelten (konkret ab einer dem Netz entnommenen Jahresarbeit von 3.700 GWh/Jahr oder mehr, Nr. 1.3.1 Teil 3 Anhang 1 zur BSI-KritisV).
C. Bedeutung für die Praxis und Ausblick
Angesichts der eingangs aufgezeigten Bedrohungslage für Wirtschaft, Infrastruktur und Staatsverwaltung und des daran anknüpfenden neuen regulatorischen Rahmens kann von einem Paradigmenwechsel gesprochen werden.21 Dabei werden Unternehmen aus ganz unterschiedlichen Sektoren und Teilen der Gesellschaft einem strengen und umfangreichen Anforderungsprogramm unterworfen, der innerbetrieblich zu beachtlichen technischen und organisatorischen Veränderung führen wird. Insbesondere das neue (persönliche) Haftungsregime gegenüber der Geschäftsleitung, die potenziell sehr hohen Geldbußen sowie das eingriffsintensive Aufsichtsregime machen klar, dass die erfassten Einrichtungen den Bereich der Cybersicherheit fortan mit dem notwendigen Engagement behandeln und zwingend zur „Chefsache“ machen müssen. Das strenge Anforderungsprogramm und Haftungsregime machen es außerdem notwendig, eine Harmonisierung mit anderen Rechtsbereichen herzustellen, die sich derzeit noch als potenzielles „Einfallstor“ für Angriffe auf kritische Infrastrukturen erweisen.22
Perspektivisch wäre es für die weitere Entwicklung dieses noch jungen „Cybersicherheitsrechts“ ein sinnvoller Schritt, die Anforderungen des BSIG an die Cybersicherheit und des KRITIS-DachG an die Resilienz von physischen Komponenten – gleichsam als „Schwestermaterien“ – zukünftig in einem einheitlichen Gesetz zu regeln, wie schon andere vorgeschlagen haben.23 Dies würde zur Herausbildung einer einheitlichen Gesamtsystematik „KRITIS-Recht“ und zur Entwicklung einer rechtsgebietsspezifischen Rechtsdogmatik beitragen, wodurch die Zugänglichkeit sowie die Transparenz dieser Rechtsmaterien für die Rechtsanwender deutlich erhöht wären.24
